Vytvořili jsme bezplatný nástroj na kontrolu zranitelnosti BlueKeep (CVE-2019-0708) v operačním systému Windows. Zranitelnost BlueKeep využívá chyby v protokolu připojení ke vzdálené ploše (Remote Desktop Protocol, neboli RDP) a umožňuje útočníkům provádět široké spektrum škodlivých aktivit na napadeném serveru.
BlueKeep je bezpečnostní slabina starších verzí systému Microsoft Windows, která umožňuje útočit na protokol RDP. Sama společnost Microsoft označila tuto chybu za kritickou a v květnu 2019 pro ni vydala speciální aktualizaci s opravou. Díky našemu nástroji si lze ověřit, zda je konkrétní počítač zranitelný a případně zajistit příslušné aktualizace.
Počet útoků přes RDP roste
Útoků, které zneužívají RDP server volně přístupný z internetu, pomalu přibývá. Ačkoli prozatím BlueKeep nevedl ke globálnímu chaosu, představuje velké nebezpečí pro nezáplatované zařízení. Navíc se tento exploit v některých variantách dokáže šířit automaticky v celé síti sám bez uživatelské interakce.
RDP protokol umožňuje uživateli práci na vzdáleném počítači stejným způsobem jako by ji vykonával na svém lokálním. Během minulých dvou let jsme zaznamenali zvyšující se počet incidentů, během kterých se útočníci prostřednictvím internetu připojili vzdáleně na server s operačním systémem Windows se zranitelnou verzí protokolu pro připojení pomocí vzdálené plochy.
Útočníci po získání práv administrátora počítače mohou provádět řadu nežádoucích úkonů, včetně stahování a instalování škodlivých programů na server, vyřazení bezpečnostních řešení nebo exfiltrace dat ze serveru. Mezi nejčastější postupy útočníků patří instalace malware k těžbě kryptoměn či instalace ransomware za účelem vydírání organizace.
Ačkoliv pro exploit BlueKeep existuje bezpečnostní oprava, řada zařízení zůstává zranitelných. Zásadní chybou je podle expertů vystavení RDP serveru přímo do internetu. Navíc pro RDP protokol existují i další zranitelnosti se stejným dopadem, např. DejaBlue. Podle veřejně dostupných dat jen v České republice existuje přes 16 000 zařízení takto napřímo do internetu vystavených.
Podle našich expertů mohou být pro útočníky snadným cílem. Není těžké zjistit, jaké bezpečnostní zranitelnosti obsahují. Tomuto stavu se dá zabránit vícero způsoby. Na prvním místě můžeme jmenovat zpřístupnění služeb koncovým uživatelům nacházejících se mimo podnikovou síť pomocí VPN nebo alespoň pomocí reverzní proxy, která umožňuje kontrolu přenášeného datového toku a detekci útoků.